KU Leuven ontdekt ernstig lekke tunneling hosts
Onderzoekers van de DistriNet-groep aan de Belgische KU Leuven hebben een grootschalig beveiligingslek ontdekt in zogenaamde ’tunneling hosts’. Dit zijn servers die als tussenstation dienen om computernetwerken met elkaar te verbinden. Het onderzoek bracht meer dan 4 miljoen kwetsbare servers aan het licht.
De kwetsbaarheid werd gevonden in veelgebruikte tunneling-protocollen zoals IP-in-IP en GRE (generic routing encapsulation). ‘Die protocollen laten geen versleuteling of controle van de afzender toe’, benadrukt professor Mathy Vanhoef. Daarvoor moet een extra beveiliging gebruikt worden: Internet Protocol Security, en net daar wringt de schoen: die extra beveiliging wordt vaak achterwege gelaten. ‘In totaal vonden we meer dan 3,5 miljoen kwetsbare hosts die met IPv4-adressen werken, maar ook meer dan 700.000 die de nieuwere IPv6-adressen gebruiken.’
Mogelijke aanvallen
Het onderzoek, dat deel is van het Cybersecurity Research Programme Flanders, legde bloot dat kwetsbare hosts door hackers gebruikt kunnen worden om hun identiteit of locatie te verbergen. En ze kunnen een toegangsweg zijn om een netwerk binnen te dringen. Of om DoS-aanvallen uit te voeren die systemen overbelasten.
De onderzoekers identificeerden drie nieuwe typen aanvallen die deze kwetsbaarheden kunnen misbruiken: Ping-Pong aanvallen waarbij datapakketjes eindeloos heen en weer kaatsen, Tunnelled Temporal Lensing, waarbij pakketjes via verschillende routes naar een doelwit worden gestuurd om gelijktijdig aan te komen, en Economic DoS-aanvallen die slachtoffers op kosten jagen door enorme hoeveelheden data te versturen.
Wereldwijd
De meeste kwetsbare infrastructuur werd aangetroffen in China, Frankrijk, Japan, de VS en Brazilië, met betrokkenheid van grote telecomnetwerken als China Mobile en Softbank. In Vlaanderen werden Telenet-klanten als kwetsbaar geïdentificeerd. De onderzoekers hebben hun bevindingen gedeeld met infrastructuureigenaren via de Shadowserver Foundation en het Cyber Emergency Response Team (CERT). Bedrijven worden geadviseerd om hun tunneling hosts beter te beveiligen door alleen pakketjes van vertrouwde ip-adressen te accepteren en protocollen met authenticatie en versleuteling te gebruiken.
